ナイトランサムウェア検出: 3.0 ランサムウェアのソースコード販売中

Cyclopsの再ブランドであるKnightランサムウェアのソースコードが RaaS オペレーションは、ハッキングフォーラムで販売されています。研究者たちは、RAMPフォーラムに投稿された、Knightランサムウェアギャングに属するCyclopsというハンドルネームの個々の脅威アクターによる最近の広告を明らかにしました。Knightランサムウェアバージョン3.0のソースコードは、独占的に単一の購入者に提供され、その価値をプロプライエタリーなツールとして維持しています。

Knightランサムウェアの検出

ランサムウェアは、世界的に企業にとっての脅威のナンバーワンとしての地位を維持しており、 組織の70％が ランサムウェアオペレーションの被害を受けており、ランサムウェア攻撃の平均コストは 450万ドルに達します。新興の脅威がますます複雑かつ大規模化しているため、セキュリティ実務者は、脅威狩りの調査を簡素化し、能動的なサイバー防御を確保するために、高度なソリューションを模索しています。SOC Prime Platformは、脅威狩りと検出エンジニアリングのために、最新のTTPに加えて独占的なSaaSソリューションを伴った世界最大の検出コンテンツリポジトリを提供しています。

Knightランサムウェアのソースコードがオンラインに流出したことを考慮すると、セキュリティ専門家は、このマルウェアの種類に依存した攻撃の急増を予測しています。Knightランサムウェア攻撃を検出するために、サイバー防御者は、SOC PrimeのThreat Detection Marketplaceに記載されているキュレーションされた検出ルールを適用するかもしれません。 

この Explore Detections ボタンを押し、Knight攻撃に対する関連する検出スタックを深く探ってください。すべてのルールは、28のSIEM、EDR、XDR、およびデータレイクのソリューションに対応しており、 MITRE ATT&CK v14.1にマッピングされています。さらに、検出は攻撃のタイムラインやCTI参照などの関連メタデータで強化されています。

Explore Detections

悪意のあるランサムウェアアクターから保護するために、SOC Prime Platformsは、関連する悪意のある活動を検出するための数百のルールを集積しています。以下の このリンク をフォローして、一致する検出セットを探索してください。

Knightランサムウェアの分析

Cyclops RaaSの後継であるKnightランサムウェアは、2023年夏にサイバー脅威の風景に登場し、Windows、macOS、Linuxのオペレーティングシステムをターゲットにしました。このランサムウェアは、下位のアフィリエイトが小規模な組織をターゲットにするために、情報窃盗ツールとライト暗号化ツールを提供することで、迅速に注目を集めました。その前任者と同様に、KnightはRaaSモデルの下で運営され、暗号化されたファイルをサーバーにアップロードできる情報窃盗ツールを提供し、一般的には悪意のある添付ファイル付きのスパムメールを活用します。

防御者は最近、Knightランサムウェア運営者の代表と思われるCyclopsというエイリアスのハッカーに帰属したRAMPフォーラムの投稿を発見しました。販売されているKnight 3.0ランサムウェアパッケージには、コントロールパネルと暗号化機構（「ロッカー」）が含まれています。売り手は、完全なソースコードがプロプライエタリーであり、Glong C++で書かれていることを主張しています。アップグレードされたランサムウェアバージョン3.0は、2023年の晩秋にリリースされ、40％高速な暗号化、新しいハイパーバイザーのイテレーションに対応する改善されたESXiモジュール、および他の強化された機能セットを誇っています。 

売り手は、預金を行う信頼のおけるユーザーが優先され、取引はRAMPまたはXSSハッカーフォーラムのどちらかで取引保証者を通じて円滑に進められると述べました。また、ソースコードは一度だけ販売されると述べ、ランサムウェアの排他的でおそらく高価値を維持しようとしていることを示しています。ランサムウェアオペレーションの被害者強要ポータルが現在利用不可であり、Knightランサムウェアキャンペーンが長い間活動していないため、脅威アクターは悪意のある活動を停止し資産を売却することを検討しているかもしれません。これがランサムウェアのソースコード販売の潜在的な理由となり得ます。

ダークウェブで販売されているソースコードの可用性は、敵対者にそのツールキットを強化し、さらなるサイバー攻撃を開始するためのグリーンライトを与えます。攻撃力に対して競争優位性を得るために、防御者はプロアクティブになり、脅威検出と狩猟速度を継続的に加速させようとしています。 Uncoder AI、先進の検出エンジニアリング用IDEにアクセスすることで、防御者は新興の脅威に対する検出コードをより速く賢く書くことができ、AI生成の推薦とインテリジェンスに依存して、脅威研究を簡素化し、複数のサイバーセキュリティ言語にわたる検出アルゴリズムを自動的に翻訳することができます。